Crossdomain

[DerTobi]

Guten Abend Leute,

ich komme gleich zu meiner Frage.

Ich habe eine Anwendung bestehen aus Server und Frontend. Das Frontend ist eine Kombination aus Flex und Flash-Filmen und der Server ist mit PHP geschrieben.
Die Kommunikation untereinander läuft über XML. Wenn ich das ganze lokal laufen lassen, reicht die crossdomain.xml in dem Verzeichnis der index.php meines Backends. Bringe ich das ganze allerdings online, so bekomme ich Security-Error.

Nun habe ich gelesen, dass wohl generell im Server-Root eine crossdomain.xml liegen muss, die den Zugriff erlaubt und dann im Verzeichnis selbst nochmal eine crossdomain.xml die genau festlegt, welche Domains Zugriff haben.

Meine aktuell im Index-Verzeichnis liegende crossdomain.xml sieht so aus:

HTML-Code:

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policySYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
       <allow-access-from domain="http://meinedomain.de/unterordner" />
</cross-domain-policy>

In dem "Unterordner" liegt somit meine index.html, welche die Flash-Datei einbettet.

Nun ist die Frage, was muss die crossdomain.xml im Server-Root für Domains beinhalten?

Mein Backend ist über: http://backend.meinedomain.de zu erreichen.

Wäre das dann trotzdem diese?

HTML-Code:

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policySYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
       <allow-access-from domain="http://meinedomain.de/unterordner" />
</cross-domain-policy>

Ich hoffe ich habe mich ein bisschen verständlich ausgedrückt.

Vielen Dank schonmal für die Antworten :P,
Tobi

[ksw24]

Hi,

schau dir doch mal als Beispiel die crossdomain von youtube an: http://www.youtube.com/crossdomain.xml

LG - ksw24

[_geo_]

Nur ein crossdomain alleine genügt nicht (mehr). Du musst im root deines Servers eine crossdomain haben (meta-policy) welche spzifiziert welche Rechte eine crossdomain Datei innerhalb eines Ordners erlauben / ablehnen darf.

Die im Root bestimmt sozusagen globale Settings und die im Ordner dann spezielle Rechte für den Ordner und dessen Unterordner.

Im root deines servers:

ActionScript:

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
   <site-control permitted-cross-domain-policies="all" />
</cross-domain-policy> 

Im speziellen Verzeichnis:

ActionScript:

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
    <allow-access-from domain="*"/>
</cross-domain-policy> 

http://www.adobe.ca/devnet/flashplay...0_security.pdf
Flash Security WhitePaper S.34 :

Zitat:

Note: If you plan to implement policy files, you must also declare a meta-policy that specifies the
locations on your server that are permitted to serve policy files. See the following section, “Meta-
policies,” for more information.

lg

[DerTobi]

Ok schonmal vielen Dank.

Nun nochmal zur Definition des Server-Roots.
Wenn ich einen virtuellen Host besitze, welcher auf ein Verzeichnis zeigt, ist dann das dort das Server-Root oder der wirkliche Document-Root des Servers?

LG,
Tobi

[DerTobi]

Nun funktionierts. Liegt im Root des Virtual-Hosts. Vielen Dank für eure Hilfe!